第一章 网络安全基础

第一章 出门测

1、多选题:
本学期哪些章节的实验报告需要提交到「私有」作业仓库?
选项:
A: 第五章
B: 第七章
C: 第十一章
D: CTF WriteUp
答案: 【 第七章;
第十一章;
CTF WriteUp

2、多选题:
网络空间安全领域里的「资产」包括以下哪些对象?
选项:
A: 计算机软硬件
B: 通信基础设施
C: 文档资料
D: 工作人员
答案: 【 计算机软硬件;
通信基础设施;
文档资料;
工作人员

3、多选题:
网络空间安全领域里的「威胁」包括以下哪些来源?
选项:
A: 内部威胁
B: 外部威胁
C: 自然威胁
D: 人为威胁
答案: 【 内部威胁;
外部威胁;
自然威胁;
人为威胁

4、多选题:
以下哪些描述在网络空间安全领域里属于具体「漏洞」类型?
选项:
A: 任意代码执行
B: SQL 注入漏洞
C: 用户口令没有配置为定期强制更新
D: 用户口令输入错误次数无限制
答案: 【 SQL 注入漏洞;
用户口令没有配置为定期强制更新;
用户口令输入错误次数无限制

5、多选题:
常见的风险管理措施包括?
选项:
A: 分散风险
B: 缓释风险
C: 风险降低
D: 风险承受
答案: 【 分散风险;
缓释风险;
风险降低;
风险承受

6、多选题:
同一台宿主机上使用虚拟机软件Virtualbox运行的2台VM之间需要相互直连访问,请问以下哪种虚拟网络连接方式可以实现
选项:
A: NAT
B: NAT-网络
C: 桥接网络
D: Host-Only
答案: 【 NAT-网络;
桥接网络;
Host-Only

7、多选题:
以下哪些标准是围绕创建 可度量的安全(标准)而制订的?
选项:
A: CVE
B: CWE
C: CVSS
D: CPE
答案: 【 CVE;
CWE;
CVSS;
CPE

8、多选题:
等级安全保护的意义包括了?
选项:
A: 信息安全与信息化建设要协调
B: 安全第一,因此信息安全建设投入应不计成本
C: 在预算成本投入有限的情况下,安全保护应明确重点、突出重点、保护重点
D: 安全建设和管理需要优先考虑系统性,其次是可行性,最后才是针对性
答案: 【 信息安全与信息化建设要协调;
在预算成本投入有限的情况下,安全保护应明确重点、突出重点、保护重点

9、判断题:
安全措施虽然可以降低风险,但在实践中很难彻底根除所有安全风险
选项:
A: 正确
B: 错误
答案: 【 正确

10、判断题:
资产如果没有价值,就不会招来威胁
选项:
A: 正确
B: 错误
答案: 【 正确

11、判断题:
如果资产中不存在漏洞,攻击就无法得手
选项:
A: 正确
B: 错误
答案: 【 正确

12、判断题:
所有已发现的安全漏洞都会被分配一个 CVE 编号
选项:
A: 正确
B: 错误
答案: 【 错误

13、判断题:
CAPEC 中所有「知识条目」均来自于「公开披露的真实安全事件」
选项:
A: 正确
B: 错误
答案: 【 错误

14、判断题:
我国等级安全保护的定级原则主要考虑了受侵害的客体类别和对客体的侵害程度
选项:
A: 正确
B: 错误
答案: 【 正确

15、填空题:
通用漏洞及曝光 对应的漏洞标准缩写,注意,全大写
答案: 【 CVE

16、填空题:
通用漏洞评分系统 对应的漏洞标准缩写,注意,全大写
答案: 【 CVSS

17、填空题:
通用缺陷枚举 对应的漏洞标准缩写,注意,全大写
答案: 【 CWE

18、填空题:
常见攻击模式枚举和分类 对应的漏洞标准缩写,注意,全大写
答案: 【 CAPEC

第二章 系统安全、风险评估理论与应用

第二章 出门测

1、单选题:
在双因素及多因素身份认证系统中,通常被用来作为主认证因素的是哪一种认证方式?
选项:
A: 生物特征
B: 口令
C: USB令牌
D: MAC地址认证
答案: 【 口令

2、多选题:
我们在使用 kill <pid> 终结进程时,以下关于 <pid> 的说法正确的是?
选项:
A: pid 是进程标识
B: pid 是一种实体标识
C: 对于「终结进程」这个操作来说,pid 是客体标识
D: 对于「终结进程」这个操作来说,pid 是主体标识
答案: 【 pid 是进程标识;
pid 是一种实体标识;
对于「终结进程」这个操作来说,pid 是客体标识

3、多选题:
以下哪些访问控制示例符合Lattice保密性模型的「上写下读」原则?
选项:
A: 不解锁直接使用照相机功能
B: 邮筒
C: 不解锁直接查看新收到短信内容
D: /etc/passwd 允许『所有用户』用户权限读取
答案: 【 不解锁直接使用照相机功能;
邮筒

4、多选题:
以下关于CVSS的说法正确的是
选项:
A: CVSS基础评分高的漏洞在实践中需要引起更高优先级的关注
B: CVSS基础评分高的漏洞无论在任何情况下都应比评分低的漏洞优先修补
C: CVSS 2.0和3.0的基础评价组里的指标定义有差异
D: CVSS评分标准以技术事实为依据对部分单项指标进行主观打分
答案: 【 CVSS基础评分高的漏洞在实践中需要引起更高优先级的关注;
CVSS 2.0和3.0的基础评价组里的指标定义有差异;
CVSS评分标准以技术事实为依据对部分单项指标进行主观打分

5、多选题:
以下关于访问授权的说法,正确的是?
选项:
A: 授权类型包括了授予权限和属主权限两类
B: 具有属主权限的主体可以将自己不具备的其他权限授予自己
C: 微信登录第三方应用的过程包含了一个第三方访问授权的过程
D: 在保留认证凭据有效性的前提条件下也可以实现取消授权的效果
答案: 【 授权类型包括了授予权限和属主权限两类;
具有属主权限的主体可以将自己不具备的其他权限授予自己;
微信登录第三方应用的过程包含了一个第三方访问授权的过程;
在保留认证凭据有效性的前提条件下也可以实现取消授权的效果

6、多选题:
以下关于访问控制理论的说法,正确的是?
选项:
A: 授权检查可以独立于身份认证操作
B: 数字标识的分配和管理是访问控制系统的基础设施
C: 对于授权成功的操作可以不必记录到审计日志
D: 除了多因素认证之外,基于审计记录的数据挖掘与分析也可以用来提高

剩余75%内容付费后可查看

发表评论

电子邮件地址不会被公开。 必填项已用*标注